Персональные данные защита

Содержание

Как используются ваши данные и зачем их защищать

К личной и конфиденциальной информации обычно относятся такие сведения, как номера банковских карт, адреса электронной почты, телефонные номера, дата рождения, СНИЛС и прочее. К подобной информации также относят данные о поведении (например, о посещенных сайтах и используемых социальных сетях). Эти сведения говорят им о вас намного больше, чем вы можете представить.

Это отчасти вызвано растущими возможностями искусственного интеллекта.

ИИ используется на популярных платформах для разработки алгоритмов, определяющих, какие товары могут вас заинтересовать и какую рекламу следует вам показывать. Яркий пример возможностей и точности интеллектуальных алгоритмов показало исследование, проведенное Кембриджским университетом в 2013 году. Оно было посвящено изучению пользователей на основании понравившихся им публикаций в Facebook. Проанализировав всего десять отметок «Нравится» в Facebook, исследователи смогли узнать человека лучше, чем его коллеги. Чем больше таких отметок анализируется, тем более полной становится информация. Изучив 300 понравившихся публикаций, алгоритм уже понимал исследуемого пользователя лучше, чем его партнер или супруг. И с 2013 года алгоритмы постоянно совершенствовались.

Способы сбора данных

Прежде чем рассматривать способы защиты личных данных, нужно понять, как они собираются. Рассмотрим пять основных методов.

1. Файлы cookie

Файлы cookie — это небольшой объем данных, сохраняемый браузером на вашем компьютере при посещении сайтов. Они делятся на два типа: файлы для отдельных сеансов и постоянные файлы. Файлы cookie для сеансов безвредны. Они позволяют нам переходить от одного раздела сайта к другому (например, со страницы продукта на страницу оформления заказа), не выполняя вход заново на каждой странице. Файлы cookie для сеанса действуют только во время текущего посещения и должны автоматически удаляться при выходе из учетной записи на сайте или при закрытии браузера.

Постоянные файлы cookie могут быть как полезны, так и вредны. Все зависит от того, под каким углом на это посмотреть. Они сохраняются на вашем компьютере и остаются на нем. В основном они используются, чтобы отслеживать вашу историю просмотров. Например, если вы выбирали себе смартфон и искали информацию о них в интернете, то вскоре реклама подобной техники будет преследовать вас на всех сайтах. Иногда она может мешать, но может быть и полезной, если такая реклама вас интересует.

2. Создание отпечатка браузера

Когда вы посещаете сайт, его веб-сервер может передать браузеру фрагмент кода JavaScript, который выполняется браузером локально. Этот код JavaScript может собирать данные о характеристиках браузера и операционной системы (например, User agent, список установленных расширений, тип и название браузера, часовой пояс, разрешение экрана, наличие блокировки рекламы, список доступных шрифтов, данные об отрисовке WebGL, оборудовании компьютера и многом другом). Код JavaScript создает хэш собранных данных (мы называем его «отпечатком браузера») и отправляет его на веб-сервер сайта, где он обычно хранится в базе данных вместе с другой информацией.

При условии, что отпечаток уникален для вас или по крайней мере очень небольшой группы пользователей этого сайта, вас можно будет отследить при повторном посещении. Ваши действия также могут отслеживать при переходе между сайтами, использующими один список отпечатков. Так как сайту не нужно создавать и хранить файлы cookie в браузере, отпечатки браузеров также называют cookieless monsters (отсылка к персонажу «Улицы Сезам»). Это означает, что даже если в браузере не разрешено использование файлов cookie, предотвратить отслеживание будет невозможно.

Кроме того, веб-сервер сайта может считывать и анализировать ваш IP-адрес. С помощью VPN-сервиса можно скрыть свой фактический IP-адрес, но это изменит лишь небольшую долю данных, составляющих «отпечаток браузера». Иными словами, ваши действия по-прежнему можно беспрепятственно отслеживать.

3. Вредоносные приложения

Вредоносные (во всяком случае, подозрительные) приложения остаются основным средством для отслеживания персональных данных. Иногда их называют потенциально нежелательными программами (PUP). Эти программы устанавливаются с согласия пользователя, но обычно скрывают часть своих неприятных возможностей. Например, приложение для блокировки всплывающей рекламы может само устанавливать в вашей системе рекламное ПО. Другие приложения могут похищать данные о контактах, отслеживать посещаемые сайты и чаты, даже прослушивать телефонные разговоры.

4. Законный сбор

Есть еще одна категория сайтов, где мы целиком принимаем на себя ответственность за передачу личных сведений, понимая ее необходимость. Отличный пример такой ситуации — подача заявки на трудоустройство. При этом мы добровольно указываем разнообразную личную информацию. Еще один пример — покупка товаров в интернете, когда мы указываем данные банковских карт. То же относится и к бронированию гостиничного номера, особенно если нам приходится раскрывать свои паспортные данные.

5. Кража

Не проходит и недели без новостей об очередной крупной утечке данных. Это стало обычным делом. Ваши персональные данные защищены точно так же, как инфраструктура организации, в которой они хранятся. Тот, кто украл базу данных Управления кадровой службы США в 2015 году, теперь имеет доступ к персональным данным более чем 20 миллионов бывших, текущих и потенциальных сотрудников правительства США. Похититель базы данных гостиничной сети Marriott в 2018 году получил личные сведения сотен миллионов постояльцев, включая данные из нескольких миллионов паспортов.

Сведите к минимуму сбор персональных данных

В современном мире невозможно избежать попадания своих персональных данных в интернет. Но мы можем принять некоторые меры, чтобы свести их сбор к минимуму.

  1. Во-первых, при создании учетных записей в сети следует всегда использовать надежные и уникальные пароли.

    Если сайт должным образом хэширует (шифрует) пароль, то в случае кражи данных злоумышленникам будет сложнее его взломать, и пароль окажется для них бесполезным. Кроме того, если на сайте, которым вы пользовались, произошла утечка, следует сразу сменить пароль.

  2. Ограничьте использование файлов cookie и отпечатков.

    В обоих случаях используется браузер, поэтому важно, какой именно браузер вы используете. В большинстве браузеров есть настройки, позволяющие управлять файлами cookie. Используйте их, чтобы удалить все сторонние, постоянные и отслеживающие файлы cookie. Остановить создание отпечатков сложнее, поэтому здесь важен выбор браузера. Некоторые компании предоставляют защищенные браузеры, которые стоит рассмотреть как альтернативу. Например, наша компания предлагает Avast Secure Browser, предназначенный специально для обеспечения конфиденциальности и безопасности. Данный браузер не ведет историю поиска и просмотров.

    Он предоставляет удобные средства управления, позволяющие скрывать свои личные данные с помощью современной технологии защиты от отслеживания, а также содержит встроенный модуль для блокировки рекламы.

  3. Удалите вредоносные приложения.

    В частности, следует избегать потенциально опасных приложений. Главное правило — скачивать программы только из надежных источников, например с сайтов хорошо знакомых вам разработчиков или из официального магазина приложений. Но и это не гарантирует полной защиты от вредоносных приложений. Вам понадобится хороший антивирусный продукт, способный обнаружить и удалить потенциально опасные программы. Например, Avast Free Antivirus.

  4. Не спешите добровольно передавать данные.

    Контролировать законный сбор данных практически невозможно. Его стоит рассматривать как сделку. Убедитесь, что условия вас устраивают. Подумайте: настолько ли Facebook важен для вас, чтобы расплатиться своей конфиденциальностью за его услуги? Действительно ли необходимы для трудоустройства сведения, запрашиваемые формой отклика на вакансию в интернете? Если вас не устраивают «условия» соглашения, откажитесь от него или найдите другой способ передачи своих сведений.

  5. Используйте средства защиты на своих устройствах.

    Риск кражи данных непосредственно с компьютера или мобильного телефона можно снизить, используя эффективные меры безопасности. Такие средства обеспечения безопасности, как Avast Secure Browser, Avast Mobile Security и антивирусное программное обеспечение, отлично блокируют угрозы.

  6. Регулярно проверяйте, не стали ли вы жертвой взлома.

    Опасаетесь, что ваши данные могли быть украдены из используемых вами веб-сервисов? Повлиять на это практически невозможно. Если вы отправляете свои данные в сеть, рано или поздно они могут быть украдены. Рекомендуем раскрывать как можно меньше личных сведений и регулярно проверять, не затронул ли взлом вашу информацию. Для этого существуют различные средства, такие как Avast Hack Check.

Как защитить личные данные в Интернете: 10 советов

Когда-то люди умели хранить секреты. Но с приходом цифровой эры возможностей оставить что-либо конфиденциальным становится все меньше. Данные о наших повседневных действиях: общении с друзьями, поездках в отпуск и покупках — все это и многое другое записывается и хранится на серверах разных компаний и организаций.

Но в наши дни информация не складируется на пыльных носителях где-то в кладовке. Данные хранятся на подключенных к Интернету серверах, их покупают, продают, используют разнообразными способами, а иногда и воруют. И более чем вероятно, что вы не одобрите некоторые сценарии применения ваших данных, если о них узнаете. Всегда неприятно обнаружить, что личные сведения утекли в Сеть и все вокруг обсуждают вашу размолвку с женой, или то, что вы сейчас по уши в долгах, так как вашему ребенку была нужна операция.

Защита личных данных — это важная проблема для людей всех возрастов. Предлагаем вам ознакомиться с десятью простыми правилами, которые помогут вам сохранить конфиденциальность.

1. Каждая соцсеть — это бесценный источник информации для злоумышленников, собирающих персональные данные, которые они затем используют для обмана и мошенничества. Поэтому так важно правильно настроить конфиденциальность вашего профиля Facebook, «ВКонтакте», «Одноклассников» и любой другой соцсети.

Рассказываем о том, как правильно защитить свою учетную запись ВКонтакте: https://t.co/7iLF5UxS1F pic.twitter.com/sYbinkDDwD

— Kaspersky Lab (@Kaspersky_ru) December 3, 2015

2. В вашей почте хранятся «ключи» от большинства ваших учетных записей, так как процедура восстановления пароля чаще всего осуществляется именно с помощью email-сообщений. Поэтому жизненно необходимо обезопасить свой основной почтовый адрес, к которому привязаны интернет-банк и самые важные для вас сайты (например, соцсети). Если вы хотите зарегистрироваться на сайте знакомств или в каком-нибудь сомнительном сервисе, лучше создайте второй (а то и третий или даже четвертый) почтовый ящик.

3. Недавно компания Google запустила специальный инструмент, позволяющий пользователям проверить, какие личные данные они опубликовали с помощью разных Google-сервисов. Мы рекомендуем вам воспользоваться этим инструментом — можете узнать много интересного.

Что Google знает о каждом из нас? Можно попробовать узнать: https://t.co/YM4Y2XuifA pic.twitter.com/SKRgqbf9lE

— Kaspersky Lab (@Kaspersky_ru) November 19, 2015

4. Не публикуйте онлайн фотографии ваших документов, билетов и платежных чеков. Также не стоит рассказывать о том, когда вы собираетесь уехать в отпуск или полдня и полночи отрываться в местном ночном клубе. Эти данные очень интересуют как кибермошенников, охотящихся за чужими финансами, так и обычных домушников, ждущих, когда люди уйдут куда-нибудь надолго.

7 причин, по которым не стоит выкладывать в интернет фотографию своего посадочного талона: https://t.co/Le7Pczdauw pic.twitter.com/DVH8NWEehA

— Kaspersky Lab (@Kaspersky_ru) November 6, 2015

5. Не используйте открытые Wi-Fi-сети. Они могут выглядеть как вполне надежный источник Интернета, предоставленный местным кафе или даже библиотекой, но вам будет сложно отличить «добропорядочный» Wi-Fi от «зловредного». Чтобы создать такую сеть, преступнику понадобятся всего лишь ноутбук и Wi-Fi-адаптер. И мошенники действительно используют этот метод, чтобы перехватить логины и пароли пользователей, пытающихся подключиться к Интернету с помощью их Wi-Fi-сетей.

8 правил безопасности при пользовании общественным Wi-Fi: от простого к сложному — https://t.co/PThkklRyxn pic.twitter.com/0MolEM7X2h

— Kaspersky Lab (@Kaspersky_ru) December 7, 2015

6. Избегайте ненадежных паролей. Слабые комбинации практически ни от чего не защищают. На самом деле не так сложно запомнить надежный пароль. Ну а если вы совсем не готовы этого делать, используйте специальную программу для управления паролями, такую как Kaspersky Password Manager.

7. Помните о том, что для детей проблема конфиденциальности так же актуальна, как и для взрослых. Кибертравля — не миф, от нее страдают множество подростков по всему миру. Поэтому важно не публиковать посты, фото и видео, которые могут смутить ваше чадо сейчас или в будущем. И не делать других вещей, описанных в этом посте.

Почему не стоит публиковать видеозаписи ваших детей в открытом доступе https://t.co/qVIqx67KUi pic.twitter.com/3Wrb3wjw2D

— Kaspersky Lab (@Kaspersky_ru) October 23, 2015

8. Вам надоела реклама в Сети? Баннеры могут превратить обычную интернет-страницу в выставку продуктов, которые вам не нужны и неинтересны. А вы знаете, что такие рекламные объявления к тому же шпионят за тем, чем вы занимаетесь онлайн? Пользователи Kaspersky Internet Security могут отключить надоедливые баннеры практически мгновенно. В этом посте мы подробно рассказываем, как это сделать.

9. Интернет-магазины используют ваши данные, чтобы продавать вам больше товаров благодаря персонализированной рекламе, — для этого они отслеживают ваше поведение в Сети. Если вы не хотите, чтобы эти организации зарабатывали на ваших персональных данных, используйте компонент «Защита от сбора данных», доступный в новой версии Kaspersky Internet Security 2016.

Очень важный и нужный совет недели: как защититься от сбора данных в Интернете — https://t.co/ur7xgTeg2X pic.twitter.com/YI7uogDqqG

— Kaspersky Lab (@Kaspersky_ru) September 10, 2015

Это решение не дает веб-агентствам, социальным сетям и сервисам веб-аналитики следить за вами. «Защита от сбора данных» на самом деле гарантирует, что данные не покинут ваш ПК без вашего на то разрешения.

10. Конечно, маркетинг был бы менее успешным, если бы программы для сбора данных не попадали к нам на ПК довольно незаметным и при этом полностью легальным образом. Когда вы устанавливаете бесплатное ПО, вам часто предлагают поставить дополнительно разнообразные плагины, расширения и панели инструментов.

Многие не читают надписи при установке программы, а просто нажимают «Далее». В этом случае вместе с нужной утилитой устанавливается целый пакет бесполезных дополнений, которые способны поменять привычные для вас настройки на незнакомые: например, поставить новую домашнюю страницу и свой сервис поиска. Но вы всегда можете защитить свой браузер от такого рекламного ПО с помощью Kaspersky Internet Security.

Источник: https://www.kaspersky.ru/blog/privacy-ten-tips/10390/

>Положение о защите персональных данных клиентов микрофинансовой организации

Утверждаю

Приказ N от

М. П.

1. Общие положения

1.1. Настоящим Положением устанавливается порядок обработки и защиты персональных данных Клиентов (далее — Общество).

1.2. Настоящее Положение регламентируется Конституцией Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации» N 149-ФЗ от 27.07.2006 года, Федеральным законом «О персональных данных» N 152-ФЗ от 27.07.2006 года, Федеральным законом «О микрофинансовой деятельности и микрофинансовых организациях» N 151-ФЗ от 2.07.2010 года, Федеральным законом «О кредитных историях» N 218-ФЗ от 30.12.2004 г., постановлением Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и другими нормативно-правовыми актами.

1.3. Основные понятия, используемые в Положении:

— персональные данные — информация, сохраненная в любом формате, относящаяся к определенному или определяемому на основании такой информации физическому лицу (Клиенту), которая сама по себе или в сочетании с другой информацией, имеющейся в распоряжении Общества, позволяет идентифицировать личность Клиента;

— оператор — ;

— клиент — физическое лицо, официальный представитель — физическое лицо юридического лица и индивидуального предпринимателя, вступившее в договорные отношения по оказанию услуг с Обществом;

— обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

— автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

— защита персональных данных — деятельность Общества по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации;

— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

— блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.4. Целью настоящего Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных.

Настоящее Положение устанавливает обязательные для сотрудников Общества общие требования и правила по работе со всеми видами носителей информации, содержащими персональные данные Клиентов Общества.

1.5. Настоящее Положение утверждается и является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным Клиента.

2. Обработка и хранение персональных данных

2.1. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных настоящим Положением и законодательством Российской Федерации.

2.2. В целях обеспечения прав и свобод человека и гражданина Оператор при обработке персональных данных Клиента обязан соблюдать следующие общие требования:

2.2.1. Обработка персональных данных Клиента должна осуществляться на законной и справедливой основе, исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия выполнения договорных обязательств между Обществом и Клиентом;

2.2.2. При определении объема и содержания обрабатываемых персональных данных Оператор должен руководствоваться Конституцией Российской Федерации и иными нормативными правовыми актами.

2.2.3. Получение персональных данных может осуществляться как путем личного представления, так и путем получения их из иных источников.

Все персональные данные Клиента следует получать лично, за исключением случаев, если их получение возможно только от третьей стороны. Получение персональных данных у третьих лиц возможно при условии уведомления об этом Клиента.

2.2.4. Использование персональных данных возможно только в соответствии с целями, определившими их получение.

Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.

2.2.5. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

2.2.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

2.2.7. При идентификации Клиента Оператор может затребовать предъявления документов, удостоверяющих личность Клиента и подтверждающих полномочия представителя.

2.2.8. Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

2.2.9. Хранение персональных данных должно осуществляться в форме, позволяющей определить Клиента, не дольше, чем этого требуют цели обработки персональных данных.

2.2.10. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.3. Сведения о Клиентах хранятся на бумажных носителях в помещении Общества.

Для хранения носителей используются специально оборудованные шкафы и сейфы, которые запираются, опечатываются и сдаются под охрану.

2.4. Персональные данные Клиентов в электронном виде хранятся в локальной компьютерной сети Оператора, в электронных папках и файлах в персональных компьютерах и сотрудников, допущенных к обработке персональных данных Клиентов.

3. Организация защиты персональных данных

3.1. Защита персональных данных Клиентов от неправомерного их использования или утраты обеспечивается Оператором в порядке, установленном законодательством РФ.

3.2. К обработке персональных данных Клиентов могут иметь доступ только сотрудники Оператора, допущенные к работе с персональными данными Клиента и подписавшие Соглашение о неразглашении персональных данных Клиента.

3.3. Сотрудники Оператора, имеющие доступ к персональным данным Клиентов, выполняют действия по обработке персональных данных в соответствии со служебной необходимостью и возложенными на них функциями в рамках должностных инструкций.

3.4. В целях реализации условий настоящего Положения Оператор назначает ответственного за организацию обработки персональных данных.

3.5. Защите подлежат:

3.5.1. Информация о персональных данных Клиента.

3.5.2. Документы на бумажных носителях, содержащие персональные данные Клиента.

3.5.3. Персональные данные, содержащиеся на электронных носителях.

3.6. Оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных Клиентов от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 года N 152-ФЗ «О персональных данных», в том числе:

1) определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

2) принимает организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применяет прошедшую в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) осуществляет учет машинных носителей персональных данных;

6) осуществляет поиск фактов несанкционированного доступа к персональным данным и принятие мер по данным фактам;

7) восстанавливает персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;

8) устанавливает правила доступа к персональным данным, обрабатывает в информационной системе персональные данные, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролирует принимаемые меры по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3.7. Оператор осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону от 27.07.2006 года N 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора.

3.8. Ответственные лица соответствующих подразделений, хранящих персональные данные Клиентов на бумажных носителях и машинных носителях информации, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному постановлением Правительства РФ от 15 сентября 2008 г. N 687.

3.9. Ответственные лица структурных подразделений, обрабатывающие персональные данные Клиентов в информационных системах персональных данных и машинных носителях информации, обеспечивают защиту в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 1 ноября 2012 г. N 1119.

4. Передача персональных данных

4.1. Передача персональных данных Клиента третьим лицам осуществляется только с письменного согласия Клиента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях», при поступлении официальных запросов из налоговых органов, органов Пенсионного фонда России, органов Федерального социального страхования, судебных органов, а также в случаях, предусмотренных иными федеральными законами.

4.2. Передача персональных данных Оператором третьим лицам может допускаться только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

4.3. При передаче персональных данных Клиентов третьим лицам Оператор обязуется предупредить лиц, получающих персональные данные Клиентов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

Лица, получающие персональные данные Клиентов, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных данных.

4.4. При трансграничной передаче персональных данных в соответствии с действующим законодательством Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

4.5. Не допускается отвечать на вопросы, связанные с передачей информации, содержащей персональные данные, по телефону или факсу.

4.6. В соответствии с действующим законодательством РФ Общество имеет право в порядке и на условиях, установленных Федеральным законом РФ от 30 декабря 2004 года N 218-ФЗ «О кредитных историях», предоставлять имеющуюся у него информацию, необходимую для формирования кредитных историй, в отношении своих Клиентов в бюро кредитных историй, включенное в государственный реестр бюро кредитных историй.

5. Обязанности Оператора и Клиента

5.1. Оператор обязуется:

5.1.1. Обеспечить защиту персональных данных Клиентов от их неправомерного использования или утраты в порядке, установленном законодательством РФ.

5.1.2. Осуществлять обработку персональных данных Клиентов исключительно в целях оказания законных услуг Клиентам.

5.1.3. Не получать и не обрабатывать персональные данные Клиента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законом.

5.1.4. Обеспечить возможность Клиенту или его представителю ознакомиться с настоящим Положением и их правами в области защиты персональных данных.

5.1.5. В случае реорганизации или ликвидации Оператора обеспечить учет и сохранность документов, порядок передачи их на государственное хранение в соответствии с правилами, предусмотренными действующим законодательством Российской Федерации.

5.1.6. По требованию Клиента или его законного представителя предоставить полную информацию о его персональных данных и обработке этих данных.

5.2. В целях обеспечения достоверности персональных данных Клиент обязан:

5.2.1. При заключении договора предоставить Оператору полные и достоверные данные о себе.

5.2.2. В случае изменения сведений, составляющих персональные данные Клиента, незамедлительно предоставить данную информацию Оператору.

6. Ответственность за нарушение норм, регулирующих обработку персональных данных

6.1. Общество несет ответственность за персональную информацию, которая находится в его распоряжении и закрепляет персональную ответственность сотрудников за соблюдением установленного режима конфиденциальности.

6.2. Каждый сотрудник, получающий для работы документ, содержащий персональные данные Клиента, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

6.3. Любое лицо может обратиться к Оператору с жалобой на нарушение норм данного Положения и действующего законодательства по вопросам защиты персональных данных.

Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в срок со дня поступления.

6.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Источник: http://prom-nadzor.ru/content/polozhenie-o-zashchite-personalnyh-dannyh-klientov-mikrofinansovoy-organizacii

>Персональные данные

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ

Статья 1. ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящим положением об обработке и защите персональных данных Клиентов (далее – Положение) устанавливается порядок обработки персональных данных Клиентов, для которых Общество с ограниченной ответственностью «Гранд Витал» (далее по тексту – Общество) осуществляет бронирование и реализацию гостиничных услуг.

2. Цель данного Положения – обеспечение требований защиты прав Клиентов при обработке их персональных данных Обществом.

3. Персональные данные не могут быть использованы Обществом или его сотрудниками в целях причинения имущественного и морального вреда Клиентам, затруднения реализации их прав и свобод.

4. Общество обязано осуществлять обработку персональных данных только на законной и справедливой основе.

5. Обработка персональных данных Клиентов должна ограничиваться достижением законных, конкретных и заранее определенных в договоре с Клиентами целей. Обработке подлежат только те персональные данные Клиентов, и только в том объеме, которые отвечают целям их обработки, определенным в договоре с Клиентами или законодательством Российской Федерации.

6. Обрабатываемые персональные данные Клиентов подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

7. Настоящее Положение и изменения к нему утверждаются Генеральным директором Общества и вводятся приказом по основной деятельности ООО «Гранд Витал». Все сотрудники Общества должны быть ознакомлены под подпись с данным Положением и изменениями к нему. Настоящее Положение является обязательным для исполнения всеми сотрудниками Общества, имеющими доступ к персональным данным Клиентов.

Статья 2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТА

1. Под Клиентами Общества в интересах настоящего Положения понимаются:

а) Физические лица (субъекты персональных данных), заключившие с Обществом договор на реализацию гостиничных услуг. В данных правоотношениях с Клиентами Общество по терминологии Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» (далее по тексту — Закон «О персональных данных») выступает в качестве оператора персональных данных.

б) Физические лица (субъекты персональных данных), от имени которых заказчик* гостиничных услуг заключил с Обществом договор на реализацию гостиничных услуг. В данных правоотношениях с Клиентами Общество (по терминологии Закона «О персональных данных»), выступает в качестве оператора персональных данных.

* — Далее в Положении под Клиентом понимается также заказчик, который приобретал гостиничные услуги, в том числе для лиц, интересы которых он представляет, при условии, что заказчик предоставил оператору — Обществу основания правомерности его действий в чужом интересе.

2. Под персональными данными Клиента понимается любая информация о субъекте персональных данных, необходимая Обществу в связи с исполнением им договорных обязательств перед Клиентом.

3. Состав персональных данных Клиента, обработка которых осуществляется Обществом, включает в себя в основном следующие документы и сведения:

Фамилия, имя, отчество

Фамилия при рождении (либо другие фамилии, если были)

Фамилия, имя в латинской транскрипции, как они указаны в заграничном паспорте

Год, месяц и число рождения

Место рождения

Гражданство при рождении

Гражданство в настоящее время

Пол

Семейное положение

Данные об общегражданском паспорте Российской Федерации:

— Серия и номер общероссийского паспорта

— дата его выдачи

— наименование органа, выдавшего паспорт

— срок действия общероссийского паспорта либо свидетельства о рождении

Данные о заграничном паспорте Российской Федерации:

— Серия и номер заграничного паспорта

— дата его выдачи

— наименование органа, выдавшего паспорт

— срок действия

Свидетельства о рождении (для несовершеннолетних граждан)

Адрес регистрации

Адрес электронной почты

Домашний и контактный (мобильный) телефоны

Данные о работодателе и работе:

— наименование, адрес и телефон работодателя

— должность в настоящее время

Данные об учебном заведении (для школьников и студентов):

— наименование, адрес и телефон учебного заведения

Иные сведения о Клиенте, которые он сообщает о себе.

4. Общество получает персональные данные Клиента только нижеуказанным образом:

1) От субъекта персональных данных – Клиента, на основании заключения с Клиентом письменного договора о реализации гостиничных услуг.

2) От заказчика гостиничных услуг (субъекта персональных данных), выступающего также на законном основании представителем других субъектов персональных данных — Клиентов, указанных в договоре о реализации гостиничных услуг, и являющихся выгодоприобретателями по договору между Обществом и заказчиком.

Статья 3. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Документы и сведения, перечисленные в статье 2. Положения, и содержащие информацию о персональных данных Клиентов, являются конфиденциальными. Общество обеспечивает конфиденциальность персональных данных, и обязано не допускать их распространения без согласия Клиентов, либо наличия иного законного основания.

2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Клиента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3. Если Общество с согласия Клиента поручает обработку персональных данных Клиента третьему лицу, то Общество обязано на договорной основе обременить это третье лицо обязанностью соблюдения конфиденциальности персональных данных Клиента.

Статья 4. ПРАВА И ОБЯЗАННОСТИ КЛИЕНТА

1. Клиент обязан передавать Обществу достаточные, достоверные, документированные персональные данные, полный состав которых установлен в договорах на реализацию туристского продукта, заключенных между Клиентом и Обществом.

2. Клиент должен без неоправданной задержки сообщать Обществу об изменении своих персональных данных.

3. Клиент имеет право на получение сведений об Обществе, о месте его нахождения, о наличии у Общества персональных данных, относящихся к Клиенту, а также на ознакомление с такими персональными данными.

3.1. Клиент имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных Обществом; правовые основания и цели обработки персональных данных; цели и применяемые оператором способы обработки персональных данных; сроки обработки персональных данных, в том числе сроки их хранения; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование третьего лица или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по договору с Обществом; иные сведения, предусмотренные федеральными законами.

3.2. Клиент вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4. Сведения о наличии персональных данных должны быть предоставлены Клиенту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

5. Доступ к своим персональным данным предоставляется Клиенту или его законному представителю Обществом при обращении, либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность Клиента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Клиента или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

6. Согласие на обработку персональных данных может быть отозвано Клиентом.

7. Если Клиент считает, что Общество осуществляет обработку его персональных данных с нарушением требований Закона «О персональных данных» или иным образом нарушает его права и свободы, Клиент вправе обжаловать действия или бездействие Общества в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

8. Клиент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

Статья 5. ОБЯЗАННОСТИ ОБЩЕСТВА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общество осуществляет обработку персональных данных Клиентов, указанных в п.1. статьи 2 настоящего Положения, только по ниже следующим основаниям:

1) обработка персональных данных Клиентов необходима для осуществления и выполнения возложенных Федеральным законом № 132-ФЗ от 24.11.1996 года «Об основах туристской деятельности в Российской Федерации» на Общество функций, полномочий и обязанностей;

2) обработка персональных данных необходима для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому, является Клиент, а также для заключения договора по инициативе Клиента или договора, по которому Клиент будет являться выгодоприобретателем или поручителем;

3) обработка персональных данных Клиента необходима для осуществления прав и законных интересов Общества или иных третьих лиц при соблюдении условия, что при этом не нарушаются права и свободы Клиента;

4) осуществляется обработка персональных данных, доступ к которым предоставлен самим Клиентом, либо по его просьбе неограниченному кругу лиц.

2. Общество вправе поручить обработку персональных данных третьему лицу с согласия Клиента, на основании заключенного с этим третьим лицом договора. В этом случае Общество должно на договорной основе обязать третье лицо, осуществляющее обработку персональных данных по поручению Общества, соблюдать принципы и правила обработки персональных данных, предусмотренные Законом «О персональных данных» и настоящим Положением.

2.1. В договоре Общества с третьим лицом должны быть определены:

— перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных Клиента;

— цели обработки персональных данных Клиента;

— обязанность третьего лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;

— требования к защите обрабатываемых персональных данных в соответствии с Законом «О персональных данных».

2.2. Если Общество поручает обработку персональных данных Клиента третьему лицу, то ответственность перед Клиентом за действия указанного лица несет непосредственно Общество.

3. При определении объема и содержания персональных данных Клиента, подлежащих обработке, Общество обязано руководствоваться Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных», Федеральным законом № 132-ФЗ от 24.11.1996 года «Об основах туристской деятельности в Российской Федерации», договорными обязательствами, взятыми на себя сторонами по договору между Клиентом — Обществом. Общество получает персональные данные Клиентов только в объеме, необходимом для достижения целей, указанных в договоре с Клиентом.

4. Общество не имеет права получать и обрабатывать персональные данные Клиента о его судимости, политических, религиозных и иных убеждениях и частной жизни.

5. Общество не должно получать и обрабатывать персональные данные Клиента о его членстве в общественных объединениях или его профсоюзной деятельности, если только эти данные не связаны с задачами и требованиями Клиента.

5.1. Общество получает по инициативе Клиента персональные данные Клиента о его членстве в общественных объединениях или его профсоюзной деятельности только на бумажных носителях, и ведет их обработку без использования средств автоматизации.

6. Общество не должно запрашивать информацию о состоянии здоровья Клиента, за исключением тех сведений, которые относятся к вопросу организации безопасного отдыха для Клиента.

6.1. Общество получает по инициативе Клиента персональные данные Клиента о состоянии его здоровья только на бумажных носителях, и ведет их обработку без использования средств автоматизации.

7. Общество не имеет права собирать и обрабатывать биометрические персональные данные Клиентов.

Статья 6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ

1. Защите подлежат следующие объекты персональных данных Клиентов, если только с них на законном основании не снят режим конфиденциальности:

— документы, содержащие персональные данные Клиента;

— бумажные носители, содержащие персональные данные Клиентов;

— информация, содержащая персональные данные Клиентов, размещенная на электронных носителях.

2. Общество в интересах обеспечения выполнения обязанностей, возложенных на него Законом «О персональных данных» и другими нормативными актами, регламентирующими деятельность юридических лиц по обработке персональных данных, принимает меры, предусмотренные настоящим Положением и Положением о мерах по организации защиты информационных систем персональных данных Общества.

3. Общую организацию защиты персональных данных Клиентов осуществляет Генеральный директор Общества.

4. Начальник отдела кадров обеспечивает:

— Ознакомление сотрудников под роспись с настоящим Положением.

— Требование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных Клиентов и соблюдении правил их обработки.

— Ознакомление сотрудников под роспись с приказами и внутренними локальными нормативными актами, регламентирующими обработку и защиту персональных данных в Обществе.

5. Начальники отделов, в которых осуществляется обработка персональных данных Клиентов, обеспечивают общий контроль соблюдения сотрудниками их отделов мер по защите персональных данных Клиента.

6. Защита информационных систем Общества, в которых обрабатываются персональные данные Клиентов, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке, осуществляется в соответствии с Положением о мерах по организации защиты информационных систем персональных данных Общества.

7. Доступ к персональным данным Клиентов имеют сотрудники Общества, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей (Приложение №1), утверждаемого приказом Генерального директора. Приложение №1 является неотъемлемой частью настоящего Положения.

В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией Генерального директора, доступ к персональным данным Клиента может быть предоставлен иному сотруднику, должность которого не включена в Перечень должностей сотрудников, имеющих доступ к персональным данным Клиента, и которым они необходимы в связи с исполнением трудовых обязанностей.

8. Процедура оформления доступа к персональным данным Клиента включает в себя:

— Ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента, с данными актами также производится ознакомление под роспись.

— Требование с сотрудника (за исключением Генерального директора) письменного обязательства о соблюдении конфиденциальности персональных данных Клиентов и соблюдении правил их обработки, подготовленного по установленной форме (Приложение № 2). Приложение № 2 является неотъемлемой частью настоящего Положения.

9. Сотрудник Общества, имеющий доступ к персональным данным Клиентов в связи с исполнением трудовых обязанностей:

— Обеспечивает хранение информации, содержащей персональные данные Клиентов, исключающее доступ к ним третьих лиц.

— В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Клиентов.

— При уходе в отпуск, во время служебной командировки и в иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Клиентов лицу, на которое локальным актом Общества (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.

В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию руководителя отдела.

9.1. При увольнении сотрудника, имеющего доступ к персональным данным Клиентов, документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию руководителя отдела или Генерального директора.

10. Допуск к персональным данным Клиентов других сотрудников Общества, не имеющих надлежащим образом оформленного доступа, запрещается.

11. Документы, содержащие персональные данные Клиентов, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.

В конце рабочего дня все документы, содержащие персональные данные Клиентов, помещаются в шкафы (сейфы), обеспечивающие защиту от несанкционированного доступа.

12. Защита доступа к электронным носителям, содержащим персональные данные Клиентов, обеспечивается, в том числе:

— Организацией контроля доступа в помещения информационной системы посторонних лиц.

— Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный доступ к персональным данным.

— Разграничением прав доступа с использованием учетной записи.

— Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

— Учетом машинных носителей персональных данных.

— Обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.

— Контролем эффективности принимаемых мер по обеспечению защищенности персональных данных.

13. Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях с письменного разрешения начальника отдела.

14. Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов даются только с письменного согласия самого Клиента, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Общества, и в том объеме, который позволяет не разглашать излишний объем персональных данных Клиента.

Статья 7. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ

1. Обработка персональных данных Клиента осуществляется Обществом исключительно для достижения целей, определенных письменными договорами между Клиентом – Обществом, в частности для оказания услуг Клиенту по подбору, бронированию и предоставлению ему гостиничных услуг.

2. Обработка персональных данных Обществом в интересах Клиентов заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных Клиентов.

3. Обработка персональных данных Клиентов ведется методом смешанной (в том числе автоматизированной) обработки.

4. К обработке персональных данных Клиентов могут иметь доступ только сотрудники Общества, допущенные к работе с персональными данными Клиентов.

5. Согласие на обработку персональных данных может быть отозвано Клиентом. В случае отзыва Клиентом согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия Клиента при наличии следующих оснований:

1) обработка персональных данных Клиента необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Клиент, а также для заключения договора по инициативе Клиента или договора, по которому Клиент будет являться выгодоприобретателем или поручителем;

2) обработка персональных данных Клиента необходима для осуществления прав и законных интересов Общества или третьих лиц при условии, что при этом не нарушаются права и свободы Клиента.

5.1. В случае отзыва Клиентом согласия на обработку его персональных данных, и если сохранение персональных данных более не требуется для целей обработки персональных данных Общество обязано прекратить их обработку и обеспечить прекращение такой обработки другим лицом, действующим по поручению Общества, а также уничтожить персональные данные Клиента и обеспечить их уничтожение другим лицом, действующим по поручению Общества.

5.2. Общество уничтожает персональные данные Клиентов, и обеспечивает их уничтожение другими лицами, действующими по поручению Общества.

Статья 8. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Передача персональных данных Клиентов осуществляется Обществом исключительно для достижения целей, определенных письменными договорами между Клиентом – Обществом, в частности для оказания услуг Клиентам по подбору, бронированию и предоставлению ему гостиничных услуг.

2. Передача персональных данных Клиентов третьим лицам осуществляется Обществом только на основании соответствующего договора с третьим лицом, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальность персональных данных Клиентов и безопасности персональных данных при их обработке.

3. Общество в договоре с Клиентом обуславливает право третьих лиц, которым Общество передает персональные данные Клиента, осуществлять трансграничную передачу персональных данных Клиента на территории иностранных государств, которые он планирует посетить, в том числе и на территории государств, не обеспечивающих адекватную защиту персональных данных.

Статья 9. ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ

1. Персональные данные Клиентов могут храниться, как на бумажных носителях, так и в электронном виде.

2. Персональные данные Клиентов хранятся:

— в отделе Общества, который принимает заявки Клиентов на бронирование гостиничных услуг;

— в отделе, который осуществляет работу непосредственно с Клиентами;

— в бухгалтерии Общества.

3. Персональные данные Клиентов содержатся в следующих группах документов:

— письменные заявки Клиентов на бронирование гостиничных услуг;

— письменные договора с Клиентами на реализацию им гостиничных услуг;

— приложения к письменным договорам с Клиентами на реализацию им гостиничных услуг;

— бухгалтерские документы, которыми оформляются сделки между Клиентом и Обществом;

— письменные претензии Клиентов по качеству предоставленных им гостиничных услуг.

3.1. Персональные данные Клиентов на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных железных шкафах.

3.2. Ключи от железных шкафов хранятся лично у начальников отделов, их копии у генерального директора Общества.

4. Персональные данные Клиентов также хранятся в электронном виде: на машинных носителях персональных данных, в электронных папках и файлах в ПК сотрудников отделов, перечисленных в п.2. настоящей статьи, и допущенных к работе с персональными данными Клиентов.

5. После достижения цели обработки персональных данных Общество обязано прекратить обработку персональных данных Клиентов и уничтожить их персональные данные.

5.1. Персональные данные Клиентов, содержащиеся на бумажных носителях, уничтожаются по акту в следующие сроки:

— хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока по договору Клиент-Общество;

— хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока их хранения, установленного нормами законодательства РФ.

5.2. Обработка персональных данных, содержащихся на электронных носителях информации, прекращается, а сами персональные данные уничтожаются в течение тридцати дней со дня окончания установленного законодательством претензионного срока обращения Клиента с жалобой на качество предоставленных ему гостиничных услуг.

5.3. Общество обязано обеспечить исполнение требований п.5, пп.5.1., 5.2. настоящего Положения всеми третьими лицами, которым Обществом передавались персональные данные Клиентов.

Статья 10. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ КЛИЕНТА

1. Право доступа к персональным данным Клиентов у Общества имеют:

— Генеральный директор Общества;

— Системный администратор Общества;

— Работники Общества, допущенные к обработке персональных данных Клиентов в соответствии с Перечнем сотрудников Общества, имеющих доступ к персональным данным Клиентов.

— Другие сотрудники Общества при выполнении ими своих служебных обязанностей, при наличии соответствующего распоряжения Генерального директора;

— Клиент, как субъект персональных данных.

2. Перечень должностей Общества (Приложение №1), имеющих доступ к персональным данным Клиентов, определяется приказом Генерального директора Общества.

3. Доступ Клиента к своим персональным данным предоставляется при обращении, либо при получении запроса Клиента. Общество обязано в течение тридцати дней с даты получения запроса сообщить Клиенту информацию о наличии персональных данных о нем, и при необходимости предоставить возможность ознакомления с ними, либо в течение этого же срока дать мотивированный отказ в предоставлении информации.

3.1. Общество обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

4. При передаче персональных данных Клиентов Общество должно соблюдать следующие требования:

— не сообщать персональные данные Клиентов третьей стороне без письменного согласия Клиента, за исключением случаев, установленных федеральным законом;

— предупредить лиц, получающих персональные данные Клиентов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

— разрешать доступ к персональным данным Клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиентов, которые необходимы для выполнения конкретных функций.

5. Согласие Клиентов на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью Клиентов, и когда третьи лица оказывают услуги Обществу на основании заключенных договоров, а также в случаях, установленных законодательством РФ и настоящим Положением.

Статья 11. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ КЛИЕНТА

1. Общество несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных Клиентов. Общество закрепляет персональную ответственность сотрудников за соблюдением установленного в организации режима конфиденциальности.

2. Руководитель подразделения несет персональную ответственность за соблюдение сотрудниками его подразделения норм, регламентирующих получение, обработку и защиту персональных данных Клиентов. Руководитель, разрешающий доступ сотрудника к документам, содержащим персональные данные Клиентов, несет персональную ответственность за данное разрешение.

3. Каждый сотрудник Общества, получающий для работы документ, содержащий персональные данные Клиентов, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

5. За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных Клиентов Общество вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.

6. Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные Клиентов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.

Источник: https://www.gdom.ru/data-protection/

Как защитить персональные данные работников и клиентов

Виктор Владимирович, небольшие организации не всегда могут для защиты персональных данных нанять отдельного специалиста. Что же делать?

В.В. Любезный: Если вы ограничены в средствах, защищайте персональные данные своими силами. Главное — выполнять требования Закона № 152-ФЗ и подзаконных актов, где подробно прописаны конкретные меры по защите персональных данныхПостановление Правительства от 01.11.2012 № 1119 (далее — Постановление № 1119); Приказ ФСТЭК от 18.02.2013 № 21. Желательно пригласить консультанта, который проанализирует ваш бизнес с точки зрения возможных проблем и даст рекомендации.

Что именно надо предпринять для защиты персональных данных?

В.В. Любезный: Защите подлежат не просто персональные данные, а вся информационная система, то есть программы, с помощью которых они обрабатываются, и компьютеры, на которых они хранятсяст. 2 Закона от 27.07.2006 № 149-ФЗ. Если весь учет персональных данных ведется в бухгалтерии на единственном компьютере, то защищать надо бухгалтерскую программу, базу данных бухгалтерской программы, пакет офисных программ, операционную систему, компьютер, монитор и подключенный к компьютеру принтер. Если компьютер соединен с локальной сетью, надо защищать и сетевое оборудование, кабели, сервер.

От характера и объема (до 100 тысяч лиц или свыше) персональных данных зависит, как именно их надо защищать. Имеет значение и то, обрабатываются персональные данные только сотрудников организации или кого-то еще, например клиентов. Если в системе хранятся данные о состоянии здоровья людей, их политических взглядах, физиологических и биологических особенностяхстатьи 10, 11 Закона от 27.07.2006 № 152-ФЗ, требования к уровню защищенности информационной системы повышаются.

Необходимый уровень защищенности информационной системы — всего их четыре — зависит еще и от актуальных угроз. Чем больше у информационной системы актуальных угроз, тем строже требования к защищенностиПостановление № 1119.

Что это такое — актуальные угрозы?

В.В. Любезный: Это официальный термин, он используется во всех документах по информационной безопасности. Актуальная угроза — это угроза, которая может быть реализована. Иначе говоря, существует реальная опасность, что данные могут быть украдены, испорчены, уничтожены. Такие угрозы связаны с возможными ошибками в системном программном обеспечении и в прикладных программах, например офисных, бухгалтерских, почтовых.

Так, в системном программном обеспечении бывают незадекларированные возможности (они считаются угрозами первого типа). Злоумышленники могут отправить по сети на компьютер, где хранятся персональные данные, специально сформированный запрос. И таким образом с помощью незадекларированных возможностей вашего компьютера скачать персональные данные.

Защититься от этих угроз можно, подключив компьютер к Интернету через роутер в режиме трансляции сетевых адресов (NAT) или прокси-сервер. Они принимают все приходящие из Интернета запросы на себя, не пропуская их к защищаемому компьютеру или локальной сети. И тогда, выбирая уровень защищенности системы, можно считать, что угрозы первого типа для вас неактуальны.

Какие еще бывают угрозы?

В.В. Любезный: Еще больше незадекларированных возможностей встречается в прикладном программном обеспечении. Вы можете что-то искать в Интернете и случайно набрести на сайт злоумышленников. Используя неисправленную ошибку в браузере вашей программы, они могут незаметно для вас загрузить на ваш компьютер и запустить вредоносную программу. И тогда ваш компьютер и информация на нем окажутся под их контролем.

Такие угрозы называются угрозами второго типа. Для большинства организаций такой тип угроз считается актуальным. Стопроцентной защиты от них нет, хотя можно серьезно снизить вероятность их наступления.

А какой уровень защищенности информационной системы должен быть у обычной организации, которая никаких персональных данных посторонних лиц не обрабатывает и не хранит?

В.В. Любезный: Если компьютеры с персональными данными сотрудников имеют выход в Интернет, то актуальны угрозы второго типа. И информационные системы в большинстве своем должны иметь третий уровень защищенности.

Какими конкретно мерами надо обеспечить этот третий уровень защищенности?

В.В. Любезный: Эти меры перечислены в Постановлении Правительства № 1119 и Приказе ФСТЭК № 21. Там же установлен порядок их использования для конкретных информационных систем. Если вы не можете реализовать какую-то из этих мер или это для вас слишком дорого, Приказ разрешает заменить ее другой, компенсирующей мерой.

Для начала надо назначить приказом работника, ответственного за обеспечение безопасности персональных данных в информационной системе.

Также приказом надо утвердить перечень сотрудников, которые имеют право доступа к персональным данным. Другие люди в помещение, где размещена система персональных данных, допускаться не должны. На дверях необходимы замки. Ключи должны быть только у сотрудников с правом доступа к информационной системе, а запасной ключ нужно хранить в сейфе руководителя организации. Когда сотрудники выходят из помещения, они должны выключать приборы и обязательно запирать двери и окна. Это надо прописать в правилах внутреннего распорядка.

Необходимо полностью исключить возможность того, чтобы персональные данные мог увидеть и тем более скачать кто-то кроме ответственных лиц. Поэтому рабочие места в помещении, где стоит система, надо разместить так, чтобы из окна или двери нельзя было подсмотреть информацию на мониторах сотрудников и в документах, с которыми они работают.

Но как сделать это на практике? Например, персональные данные всех сотрудников организации хранятся в бухгалтерии. Неужели надо запретить сотрудникам других отделов заходить туда?

В.В. Любезный: Нет, совсем запрещать не надо. Самое главное — не допускать «неконтролируемого проникновения» посторонних в помещениеподп. «а» п. 13 Требований, утв. Постановлением № 1119. А «контролируемое» пребывание в бухгалтерии сотрудников организации в присутствии ответственного бухгалтера допускается.

Что еще нужно сделать?

В.В. Любезный: Для каждого сотрудника, работающего с персональными данными, надо завести отдельную учетную запись для входа в компьютер. Для того чтобы поработать, он должен ввести свое имя и пароль (причем этот пароль не должен быть виден на экране) либо приложить электронный ключ.

Компьютеры должны быть настроены так, чтобы после нескольких неправильных попыток ввода пароля учетная запись пользователя блокировалась. А если пользователь бездействует на протяжении нескольких минут, вход в систему закрывается. И чтобы начать работать, нужно вводить пароль снова.

Каждый пользователь должен иметь право совершать только те действия, которые определены его трудовыми обязанностями. Конечно, урезать права надо в разумных пределах, ведь может возникнуть ситуация, когда одному сотруднику приходится подменять другого.

Если кто-то из сотрудников работает удаленно, между его компьютером и сервером фирмы надо организовать зашифрованный канал связи.

Если с системой персональных данных работают только ответственные сотрудники и они не переписывают информацию на флешки и не выходят в Интернет, этого достаточно?

В.В. Любезный: Утечка персональных данных может произойти не только через Интернет. Надо обеспечить сохранность носителей персональных данных.

Внутренние носители (жесткие диски или SSD-носители) находятся внутри компьютеров, серверов, сетевых хранилищ. И меры их защиты те же самые, о которых я уже говорил: не допускать посторонних в помещение. Если при ремонте из компьютера извлекается носитель, он должен храниться в запирающемся шкафу, желательно в сейфе. Внешние носители (флешки, дискеты, карты памяти, сменные жесткие диски) тоже надо хранить под замком. Если вы носите флешку с собой, защитить ее от кражи полностью, к сожалению, невозможно. Но желательно выбрать такую модель флешки, данные на которой защищаются паролем или ПИН-кодом. Не зная их, записанный на такую флешку файл прочитать не удастся. Если техника отслужила свой срок, ее нельзя просто выбросить на помойку. Многие модели уничтожителей документов способны уничтожать не только бумагу, но и CD- и DVD-диски. Можно и просто разломать такой диск на части. Лучше делать это в пакете: при разламывании от диска могут отлететь мелкие кусочки и повредить глаза.

Жесткий диск лучше всего размагнитить. Но для этого требуется специальное оборудование. Если такого оборудования у вас нет, можно вскрыть гермоблок, извлечь металлические диски, на которых записана информация, зачистить их шкуркой с двух сторон и сдать на металлолом. У SSD-носителей и флешек можно вытащить электронные платы и измельчить микросхемы дремелем или другим режущим инструментом.

Надо ли для защиты персональных данных использовать антивирусные программы?

В.В. Любезный: Конечно. На компьютерах с информационной системой должен стоять современный антивирус, желательно с сетевым экраном. Сетевой экран — это специальная программа, анализирующая обмен данными между компьютером и сетью. Она позволяет блокировать трафик, определять и пресекать атаки на компьютер. Операционная система, антивирус, прикладные программы должны автоматически обновляться.

Wi-Fi, если в нем нет необходимости, надо отключить. Если он нужен, то доступ посторонним надо закрыть длинным, стойким к подбору паролем. То есть пароль должен быть бессмысленным или случайным набором букв, цифр и других символов, желательно не менее восьми.

События, связанные с информационной безопасностью (например, вход пользователя в систему, неудачная попытка входа в систему, попытка входа под заблокированной учетной записью и т. п.), должны записываться в специальный журнал. В Win­dows такой журнал ведется автоматически. Если была попытка кражи данных, просмотр журнала поможет разобраться в произошедшем, например понять, кто работал за компьютером в этот момент.

Может ли кто-то проверить, как соблюдаются все эти меры?

В.В. Любезный: Конечно, к вам могут прийти контролеры из Роскомнадзора и проверить, выполняете ли вы все процедуры определения актуальных для информационной системы угроз и необходимого уровня ее защищенности. И достаточно ли для защиты системы тех мер безопасности, которые вы применяете. Поэтому советую подготовить и хранить документы:

протокол определения и оценки актуальности угроз безопасности обрабатываемых системой персональных данных;
протокол определения типов актуальных угроз и необходимого уровня защищенности информационной системы персональных данных;
протоколы определения и адаптации базового набора мер по обеспечению безопасности;
приказ об утверждении и организации выполнения окончательного набора мер безопасности;
акты о выполнении работ по безопасности, приказ о назначении ответственного сотрудника или структурного подразделения.

Не реже чем раз в 3 года эффективность применяемых вами мер надо проверять и составлять об этом протокол. Также желательно утвердить регламент технического обслуживания и использования информационной системы. В нем надо прописать периодичность и состав мероприятий по контролю работоспособности системы, средства защиты информации, процедуры работы с носителями персональных данных (установка, учет, изъятие, отправка в ремонт или на утилизацию), порядок привлечения новых сотрудников к работе с персональными данными и действия при увольнении сотрудника. А самое главное — неотложные действия конкретных лиц в различных нештатных ситуациях.

Хотя формального требования иметь такой регламент нет, проверяющие его обычно требуют. Но он нужен и вам, чтобы ничего не забыть. Ведь при работе с такими сложными системами, как системы хранения и обработки персональных данных, нарушение порядка действий может привести к тому, что вся система выйдет из строя. Для сотрудников надо составить подробную инструкцию по безопасности при работе в информационной системе персональных данных, следует ознакомить их с ней под роспись. Ее тоже могут потребовать проверяющие.

Что надо дополнительно сделать, если у нас хранятся данные посторонних лиц: родственников сотрудников, партнеров, клиентов?

В.В. Любезный: Если у вас хранятся данные меньше чем 100 тысяч людей, не являющихся вашими сотрудниками, никаких дополнительных мер не нужно. И неважно, кто это — родственники сотрудников, партнеры или клиенты. Ваша система персональных данных останется на третьем уровне защищенности.

Если у вас хранятся данные больше чем 100 тысяч человек, уровень защищенности системы должен быть выше — второй или даже первый. Они требуют дополнительных мер безопасности. Например, надо организовать защиту от спама, обязательно создавать резервные копии баз данных. Есть и более сложные требования: контроль целостности программного обеспечения, обнаружение вторжений. Выполнить их, не привлекая специалистов по безопасности, трудно.

Источник: https://glavkniga.ru/elver/2013/19/1204-zaschititi_personalinie_dannie_rabotnikov_klientov.html

Как защитить персональные данные от мошенников

Микрозаймы / Блог / Как защитить персональные данные от мошенников

Обсуждая вопрос похищения личных сведений, большинство граждан представляют себе хакеров, которые при помощи сложных программ взламывают базы данных крупных организаций. На самом деле получить копию паспорта можно где угодно.

Мы оставляем свою личную информацию, открывая счет в банке, покупая турпутевку, оформляя займы на карту и т.д. Таким образом, сотрудники различных организаций получают не только сканкопии документов клиентов, но и их контакты, сведения о месте работы и проживания. Недобросовестные работники имеют возможность использовать эти данные в преступных целях.

Как защитить себя от мошеннических действий третьих лиц? Полностью устранить риск неправомерного использования персональной информации нельзя, но можно свести его к минимуму, придерживаясь простых рекомендаций.

Не выкладывайте копии документов в интернет

Многие граждане становятся жертвами мошенников из-за собственной беспечности. Не задумываясь о последствиях, легкомысленные пользователи соцсетей выкладывают копии паспорта, водительского удостоверения и других документов на своих страницах или в группах, пересылают через файлообменники и публикуют на других ресурсах. В одной только соцсети «ВКонтакте» количество таких изображений превышает 33 млн. шт.

Как результат — персональные данные многих россиян использовали преступники для оформления займов через интернет, основания фиктивных фирм и с другими незаконными целями. Хотите избежать такого исхода? Не размещайте в свободном доступе копии своих документов, причем, это касается не только паспорта, но и договоров, в которых указана личная информация.

Не оставляйте копию паспорта всем, кто просит

Иногда без предъявления паспорта не обойтись: например, при оформлении займа до зарплаты. Но бывает, что ваши документы требуют без оснований. Копии могут попросить для регистрации дисконтной карты в одном из магазинов или во время заполнения анкеты для участия в какой-либо акции. Посредством несложных ухищрений мошенники без усилий получают паспортные данные граждан.

Чтобы не «подарить» злоумышленникам свои персональные сведения, не доставайте паспорт без уважительной причины. Если от вас требуют документы для регистрации в фитнес-клубе или записи в салоне красоты, обязательно уточняйте, для чего это необходимо, и если ответ покажется не убедительным – откажитесь.

Не обращайтесь в сомнительные организации

Необходимо оформить срочный заем или открыть платежную карту? Обращайтесь только к надежным игрокам рынка с хорошей репутацией. Крупные организации тратят значительные средства на обеспечение информационной безопасности и больше заботятся о конфиденциальных данных клиентов. Поэтому в таких учреждениях самый низкий риск стать жертвой мошенничества.

Никогда не обращайтесь в компании, которые предлагают сомнительные услуги: например, избавить от долгов или очистить кредитную историю. Обычно такие действия носят противоправный характер, а мошенники, которые предлагают «помощь» в этих вопросах, похищают не только деньги клиентов, но и их паспортные данные. Желая воспользоваться услугами подобных организаций, граждане платят за «сервис», передавая злоумышленникам копии паспорта, кредитного договора и других важных документов. В результате должники не только не решают текущие проблемы, но и приобретают новые.

Помните: свои паспортные данные следует хранить вне досягаемости третьих лиц и не раздавать копии основных документов без законного основания.

Источник: https://4slovo.ru/blog/kak_zaschitit_personalnye_dannye_ot_moshennikov/

ПОЛОЖЕНИЕ
о защите персональных данных Клиентов в ООО «Салон онлайн»

1. Термины и определения

1.1. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, адрес электронной почты, телефонный номер, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

1.2. Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование.

1.3. Конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания.

1.4. Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

1.5. Использование персональных данных — действия (операции) с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц.

1.6. Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

1.7. Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

1.8. Обезличивание персональных данных — действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.

1.9. Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

1.10. Информация — сведения (сообщения, данные) независимо от формы их представления.

1.11. Клиент (субъект персональных данных) — физическое лицо, потребитель услуг ООО «Салон онлайн», далее «Организация».

1.12. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящего Положения Оператором признается Общество с ограниченной ответственностью «Салон онлайн»;

2. Общие положения.

2.1. Настоящее Положение об обработке персональных данных (далее — Положение) разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом 152-ФЗ «О персональных данных», иными федеральными законами.

2.2. Цель разработки Положения — определение порядка обработки и защиты персональных данных всех Клиентов Организации, данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

2.3. Порядок ввода в действие и изменения Положения.

2.3.1. Настоящее Положение вступает в силу с момента его утверждения Генеральным директором Организации и действует бессрочно, до замены его новым Положением.

2.3.2. Изменения в Положение вносятся на основании Приказов Генерального директора Организации.

3. Состав персональных данных.

3.1. В состав персональных данных Клиентов в том числе входят:

3.1.1. Фамилия, имя, отчество.

3.1.2. Год рождения.

3.1.3. Месяц рождения.

3.1.4. Дата рождения.

3.1.5. Адрес электронной почты.

3.1.6. Номер телефона (домашний, сотовый).

3.2. В Организации могут создаваться (создаются, собираются) и хранятся следующие документы и сведения, в том числе в электронном виде, содержащие данные о Клиентах:

3.2.1. Анкета (профайл) Клиента.

3.2.2. Заявка на регистрацию — физического лица.

3.2.3. Договор (публичная оферта).

3.2.4. Подтверждение о присоединении к договору.

3.2.5. Копии документов, удостоверяющих личность, а также иных документов, предоставляемых Клиентом, и содержащих персональные данные.

3.2.6. Данные по оплатам заказов (товаров/услуг), содержащие платежные и иные реквизиты Клиента.

3.2.7. Данные по адресам доставки заказов (товаров/услуг).

3.2.8. Записи телефонных переговоров и электронная переписка.

4. Цель обработки персональных данных.

4.1. Цель обработки персональных данных — осуществление комплекса действий направленных на достижение цели, в том числе:

4.1.1. Оказание консультационных, информационных и посреднических услуг.

4.1.2. Иные сделки, не запрещенные законодательством, а также комплекс действий с персональными данными, необходимых для исполнения вышеуказанных сделок.

4.1.3. В целях исполнения требований законодательства РФ.

4.2. Условием прекращения обработки персональных данных является ликвидация Организации, а также соответствующее требование Клиента.

5. Сбор, обработка и защита персональных данных.

5.1. Порядок получения (сбора) персональных данных:

5.1.1. Все персональные данные Клиента следует получать у него лично с его письменного согласия, кроме случаев, определенных в п. 5.1.4 и 5.1.6 настоящего Положения и иных случаях, предусмотренных законами РФ.

5.1.2. Согласие Клиента на использование его персональных данных хранится в Организации в бумажном и/или электронном виде. 5.1.3. Согласие субъекта на обработку персональных данных действует в течение всего срока действия договора, а также в течение 5 лет с даты прекращения действия договорных отношений Клиента с Организацией. По истечении указанного срока действие согласия считается продленным на каждые следующие пять лет при отсутствии сведений о его отзыве Клиентом.

5.1.4. Если персональные данные Клиента возможно получить только у третьей стороны, Клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Третье лицо, предоставляющее персональные данные Клиента, должно обладать согласием субъекта на передачу персональных данных Организации. Организация обязана получить подтверждение от третьего лица, передающего персональные данные Клиента о том, что персональные данные передаются с его согласия.
Организация обязана при взаимодействии с третьими лицами заключить с ними соглашение о конфиденциальности информации, касающейся персональных данных Клиентов.

5.1.5. Организация обязана сообщить Клиенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Клиента персональных данных дать письменное согласие на их получение.

5.1.6. Обработка персональных данных Клиентов без их согласия осуществляется в следующих случаях:

5.1.6.1. Персональные данные являются общедоступными.

5.1.6.2. По требованию полномочных государственных органов в случаях, предусмотренных федеральным законом РФ.

5.1.6.3. Обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.

5.1.6.4. Обработка персональных данных осуществляется в целях заключения и исполнения договора, одной из сторон которого является субъект персональных данных – Клиент.

5.1.6.5. Обработка персональных данных осуществляется для статистических целей при условии обязательного обезличивания персональных данных.

5.1.6.6. В иных случаях, предусмотренных законом.

5.1.7. Организация не имеет права получать и обрабатывать персональные данные Клиента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

5.2. Порядок обработки персональных данных:

5.2.1. Субъект персональных данных предоставляет Организации достоверные сведения о себе.

5.2.2. К обработке персональных данных Клиентов могут иметь доступ только сотрудники Организации, допущенные к работе с персональными данными Клиента и подписавшие Соглашение о неразглашении персональных данных Клиента.

5.2.3. Право доступа к персональным данным Клиента в Организации имеют:

  • Генеральный директор Организации;
  • Работники, ответственные за ведение операционной работы (Бухгалтерия, Финансовый отдел).
  • Работники Отдела по работе с Клиентами (CRM).
  • Работники Отдела поддержки Партнёров.
  • Работники Отдела маркетинга.
  • Работники Службы персонала.
  • Работники юридической службы.
  • Работники IT (Отдел информационных технологий).
  • Клиент, как субъект персональных данных.

5.2.3.1. Поименный перечень сотрудников Организации, имеющих доступ к персональным данным Клиентов, определяется приказом Генерального директора Организации.

5.2.4. Обработка персональных данных Клиента может осуществляться исключительно в целях установленных Положением и соблюдения законов и иных нормативных правовых актов РФ.

5.2.5. При определении объема и содержания, обрабатываемых персональных данных Организация руководствоваться Конституцией Российской Федерации, законом о персональных данных, и иными федеральными законами.

5.3. Защита персональных данных:

5.3.1. Под защитой персональных данных Клиента понимается комплекс мер (организационно-распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий.

5.3.2. Защита персональных данных Клиента осуществляется за счёт Организации в порядке, установленном федеральным законом РФ.

5.3.3. Организация при защите персональных данных Клиентов принимает все необходимые организационно-распорядительные, юридические и технические меры, в том числе:

  • Шифровальные (криптографические) средства.
  • Антивирусная защита.
  • Анализ защищённости.
  • Обнаружение и предотвращение вторжений.
  • Управления доступом.
  • Регистрация и учет.
  • Обеспечение целостности.
  • Организация нормативно-методических локальных актов, регулирующих защиту персональных данных.

5.3.4. Общую организацию защиты персональных данных Клиентов осуществляет Генеральный директор Организации.

5.3.5. Доступ к персональным данным Клиента имеют сотрудники Организации, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.

5.3.6. Все сотрудники, связанные с получением, обработкой и защитой персональных данных Клиентов, обязаны подписать Соглашение о неразглашении персональных данных Клиентов.

5.3.7. Процедура оформления доступа к персональным данным Клиента включает в себя:

    • Ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента, с данными актами также производится ознакомление под роспись.
    • Истребование с сотрудника (за исключением Генерального директора) письменного обязательства о соблюдении конфиденциальности персональных данных Клиентов и соблюдении правил их обработки в соответствии с внутренними локальными актами Организации, регулирующих вопросы обеспечения безопасности конфиденциальной информации.

    5.3.8. Сотрудник Организации, имеющий доступ к персональным данным Клиентов в связи с исполнением трудовых обязанностей:

    • Обеспечивает хранение информации, содержащей персональные данные Клиента, исключающее доступ к ним третьих лиц.
    • В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Клиентов.
    • При уходе в отпуск, во время служебной командировки и в иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Клиентов лицу, на которое локальным актом Общества (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.
    • В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию Генерального директора Организации.
    • При увольнении сотрудника, имеющего доступ к персональным данным Клиентов, документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию Генерального директора.
    • В целях выполнения порученного задания и на основании служебной записки с положительной
    • резолюцией Генерального директора, доступ к персональным данным Клиента может быть предоставлен иному сотруднику. Допуск к персональным данным Клиента других сотрудников Организации, не имеющих надлежащим образом оформленного доступа, запрещается.

    5.3.9. Менеджер Службы персонала обеспечивает:

    • Ознакомление сотрудников под роспись с настоящим Положением.
    • Истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных Клиента (Соглашение о неразглашении) и соблюдении правил их обработки.
    • Общий контроль за соблюдением сотрудниками мер по защите персональных данных Клиента.

    5.3.10. Защита персональных данных Клиентов, хранящихся в электронных базах данных Организации, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается Системным администратором.

    5.4. Хранение персональных данных:

    5.4.1. Персональные данные Клиентов на бумажных носителях хранятся в сейфах.

    5.4.2. Персональные данные Клиентов в электронном виде хранятся в локальной компьютерной сети Организации, в электронных папках и файлах в персональных компьютерах Генерального директора и сотрудников, допущенных к обработке персональных данных Клиентов.

    5.4.3. Документы, содержащие персональные данные Клиентов, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные Клиентов, помещаются в шкафы (сейфы), обеспечивающие защиту от несанкционированного доступа.

    5.4.4. Защита доступа к электронным базам данных, содержащим персональные данные Клиентов, обеспечивается:

    • Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный вход в локальную сеть Организации.
    • Разграничением прав доступа с использованием учетной записи.
    • Двух ступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются Системным администратором Организации и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Клиентов.

    5.4.4.1. Несанкционированный вход в ПК, в которых содержатся персональные данные Клиентов, блокируется паролем, который устанавливается Системным администратором и не подлежит разглашению.

    5.4.4.2. Все электронные папки и файлы, содержащие персональные данные Клиентов, защищаются паролем, который устанавливается ответственным за ПК сотрудником Организации и сообщается Системному администратору.

    5.4.4.3. Изменение паролей Системным администратором осуществляется не реже 1 раза в 3 месяца.

    5.4.5. Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях с письменного разрешения Генерального директора Организации.

    5.4.6. Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов даются только с письменного согласия самого Клиента, если иное не установлено законодательством РФ.
    Ответы оформляются в письменном виде, на бланке Организации, и в том объеме, который позволяет не разглашать излишний объем персональных данных Клиента.

    6. Блокировка, обезличивание, уничтожение персональных данных

    6.1. Порядок блокировки и разблокировки персональных данных:

    6.1.1. Блокировка персональных данных Клиентов осуществляется с письменного заявления Клиента.

    6.1.2. Блокировка персональных данных подразумевает:

    6.1.2.1. Запрет редактирования персональных данных.

    6.1.2.2. Запрет распространения персональных данных любыми средствами (e-mail, сотовая связь, материальные носители).

    6.1.2.3. Запрет использования персональных данных в массовых рассылках (sms, e-mail, почта).

    6.1.2.4. Изъятие бумажных документов, относящихся к Клиенту и содержащих его персональные данные, из внутреннего документооборота Организации и запрет их использования.

    6.1.3. Блокировка персональных данных Клиента может быть временно снята, если это требуется для соблюдения законодательства РФ.

    6.1.4. Разблокировка персональных данных Клиента осуществляется с его письменного согласия (при наличии необходимости получения согласия) или заявления Клиента.

    6.1.5. Повторное согласие Клиента на обработку его персональных данных (при необходимости его получения) влечет разблокирование его персональных данных.

    6.2. Порядок обезличивания и уничтожения персональных данных:

    6.2.1. Обезличивание персональных данных Клиента происходит по письменному заявлению Клиента, при условии, что все договорные отношения завершены и от даты окончания последнего договора прошло не менее 5 лет.

    6.2.2. При обезличивании персональные данные в информационных системах заменяются набором символов, по которому невозможно определить принадлежность персональных данных к конкретному Клиенту.

    6.2.3. Бумажные носители документов при обезличивании персональных данных уничтожаются.

    6.2.4. Организация обязана обеспечить конфиденциальность в отношении персональных данных при необходимости проведения испытаний информационных систем на территории разработчика и произвести безличивание персональных данных в передаваемых разработчику информационных системах.

    6.2.5. Уничтожение персональных данных Клиента подразумевает прекращение какого-либо доступа к персональным данным Клиента.

    6.2.6. При уничтожении персональных данных Клиента работники Организации не могут получить доступ к персональным данным субъекта в информационных системах.

    6.2.7. Бумажные носители документов при уничтожении персональных данных уничтожаются, персональные данные в информационных системах обезличиваются. Персональные данные восстановлению не подлежат.

    6.2.8. Операция уничтожения персональных данных необратима.

    6.2.9. Срок, после которого возможна операция уничтожения персональных данных Клиента, определяется окончанием срока, указанным в пункте 7.3 настоящего Положения.

    7. Передача и хранение персональных данных

    7.1. Передача персональных данных:

    7.1.1. Под передачей персональных данных субъекта понимается распространение информации по каналам связи и на материальных носителях.

    7.1.2. При передаче персональных данных работники Организации должны соблюдать следующие требования:

    7.1.2.1. Не сообщать персональные данные Клиента в коммерческих целях.

    7.1.2.2. Не сообщать персональные данные Клиента третьей стороне без письменного согласия Клиента, за исключением случаев, установленных федеральным законом РФ.

    7.1.2.3. Предупредить лиц, получающих персональные данные Клиента о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

    7.1.2.4. Разрешать доступ к персональным данным Клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиентов, которые необходимы для выполнения конкретных функций.

    7.1.2.5. Осуществлять передачу персональных данных Клиента в пределах Организации в соответствии с настоящим Положением, нормативно-технологической документацией и должностными инструкциями.

    7.1.2.6. Предоставлять доступ Клиента к своим персональным данным при обращении либо при получении запроса Клиента. Организация обязана сообщить Клиенту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с момента обращения.

    7.1.2.7. Передавать персональные данные Клиента представителям Клиента в порядке, установленном законодательством и нормативно-технологической документацией и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функции.

    7.1.2.8. Обеспечивать ведение журнала учета выданных персональных данных Клиентов, в котором фиксируются сведения о лице, которому передавались персональные данные Клиентов, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана .

    7.2. Хранение и использование персональных данных:

    7.2.1. Под хранением персональных данных понимается существование записей в информационных системах и на материальных носителях.

    7.2.2. Персональные данные Клиентов обрабатываются и хранятся в информационных системах, а также на бумажных носителях в Организации. Персональные данные Клиентов также хранятся в электронном виде: в локальной компьютерной сети Организации, в электронных папках и файлах в ПК Генерального директора и работников, допущенных к обработке персональных данных Клиентов.

    7.2.3. Хранение персональных данных Клиента может осуществляться не дольше, чем этого требуют цели обработки, если иное не предусмотрено федеральными законами РФ.

    7.3. Сроки хранения персональных данных:

    7.3.1. Сроки хранения гражданско-правовых договоров, содержащих персональные данные Клиентов, а также сопутствующих их заключению, исполнению документов — 5 лет с момента окончания действия договоров.

    7.3.2. В течение срока хранения персональные данные не могут быть обезличены или уничтожены.

    7.3.3. По истечении срока хранения персональные данные могут быть обезличены в информационных системах и уничтожены на бумажном носителе в порядке, установленном в Положении и действующем законодательстве РФ.

    9. Права Клиента

    Клиент имеет право:

    9.1. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

    9.2. Требовать перечень обрабатываемых персональных данных, имеющихся в Организации и источник их получения.

    9.3. Получать информацию о сроках обработки персональных данных, в том числе о сроках их хранения.

    9.4. Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

    9.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.

    10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

    10.1. Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных несут ответственность в соответствии с действующем законодательством Российской Федерации и внутренними локальными актами Организации.

Источник: https://sonline.su/agreement_polojenie1/

Обмен личной информацией с друзьями и родственниками обогащает ваши существующие отношения и помогает строить новые. Но следует избегать предоставления персональных данных непорядочным людям и сомнительным компаниям, потому что появление вашей личной информации в Интернете связано с определенными рисками.

Преступники действуют по-разному, но самые опытные из них собирают сведения систематически. Собранные по крупицам данные со временем позволяют сформировать весьма четкое представление о вашей жизни. Собрав и систематизировав информацию, преступники никогда ее не уничтожают, потому что ее можно использовать не один раз.

К счастью, можно контролировать риски, связанные с предоставлением информации о себе. Прежде чем давать такую информацию, как, например, дата рождения, убедитесь в том, что у вас нет сомнений относительно того, как получатель будет ее использовать.

Как не допустить распространение персональных данных в интернете

  • Адрес и номер телефона. Широкое распространение такой информации приведет к тому, что вам будут часто звонить по телефону из компаний, занимающихся телемаркетингом, и будет приходить нежелательная почта. Эта информация может увеличить вероятность того, что мошенник попытается выдавать себя за вас или сделает ваш дом более интересной мишенью для взлома.
  • Имена мужа/жены, отца и матери (в том числе девичья фамилия матери), братьев, сестер, детей и внуков. Эта информация очень интересна для преступников, которые могут использовать ее, чтобы завоевать ваше доверие, а затем втянуть в какую-то аферу или чтобы угадать пароль или секретный ответ на вопрос, который часто включает в себя имена членов семьи. Эта информация может также представлять угрозу для других членов вашей семьи.
  • Информация о вашем автомобиле. Ограничьте доступ к информации о номерных знаках и идентификационном номере автомобиля, а также регистрационную информацию, марку, модель, название вашей страховой компании, информацию о кредите и номер водительских прав. Главными способами преступного злоупотребления этой информации являются угон автомобиля (или кража его частей) и страховое мошенничество. Тип вашего автомобиля указывает также на ваше финансовое положение, и это добавляет в пул данных еще одну крупицу информации, собираемую о вас преступниками.
  • Информация о послужном списке. В руках преступников сведения о местах вашей работы могут оказаться очень полезными для “аутентификации” мошенника в качестве вас. Затем он сможет убедить отдельных людей и организации предоставлять ему больше ваших финансовых отчетов или сведений о вас.
  • Информация о вашем кредитном статусе. Эта информация может стать предметом злоупотреблений во многих отношениях, поэтому каждый раз, когда вас попросят выложить ее в Интернете, ваш ответ должен быть отрицательным. Не поддавайтесь искушению бесплатно проверить свои кредитные баллы через сайты, которые не относятся к гарантированно авторитетным. Другое частое злоупотребление кредитной информацией основано на предоставлении бесплатного калькулятора ипотеки для того, чтобы вы могли определить, на какой кредит имеете право. У вас затребуют все виды личной информации.

Многие люди оставляют сообщения на автоответчике электронной почты, чтобы дать знать коллегам, когда они будут находиться вдали от своих офисов. Это очень полезно для коллег, но проявляйте осторожность и ограничьте круг лиц, которым предоставляете подобную информацию. Оставив сообщение с текстом наподобие “Меня не будет с 03.11 по 13.11”, вы рискуете сделать свою квартиру привлекательной для взлома. И вы, вероятно, никогда не выявите связь между информацией, которую отправили в Интернет, и преступлением, совершенным “в реальном мире”.

Возможно, вам придется раскрыть свой послужной список, особенно в резюме, отправляемом на сайт трудоустройства или в социальную сеть, предлагающую подобные услуги. Тщательно выбирайте сайты, на которых будете размещать эту информацию. Создайте отдельную учетную запись (аккаунт) электронной почты именно для резюме, а также указывайте, какие работы вы выполнили, но не сообщайте, в каких компаниях и в какие годы работали. Заинтересованные, законные работодатели могут связаться с вами в частном порядке, и в то же время вы не расскажете о своем трудовом пути всему миру.

После того как найдете работу, уберите с веб-сайтов свое резюме. Рассматривайте это как управление рисками — когда необходимо получить работу, риск публикации подобной информации менее опасен, чем риск остаться без работы.

Источник: https://www.pc-school.ru/zashhita-personalnyx-dannyx-v-internete/

Как передаются персональные данные?

За свободный интернет и бесплатные сервисы пользователи платят данными. Крупные компании вроде Google и «Яндекса» синхронизируют информацию из различных источников, чтобы точнее определить предпочтения пользователя. Они зарабатывают на рекламе, и чем понятнее будут интересы пользователя, тем более точное объявление можно ему показывать. Так, в Facebook пользователю предлагают спонсируемые истории, исходя из страниц, которые ему нравятся, и оставленной информации в публичном доступе (в его профиле). Рейтинговые системы и кнопки шейринга вроде Pluso или Liveinternet приносят компаниям больше знаний о пользователях, которые можно анализировать и продавать для создания рекламы. Когда пользователь обращается к сервису, он принимает условия соглашения, где прописаны условия обращения с его данными. Мы передаём данные каждый раз, когда авторизуемся в сервисе, и показываем своё поведение, переходя по страницам и нажимая лайки.

Владимир Иванов, «Яндекс»: «Архитектура нашего почтового сервиса устроена так, что данные о логинах, письмах, которые им принадлежат, и содержание писем зашифрованы, лежат в трёх разных местах, за которые отвечают три разные группы системных администраторов. Чтобы получить доступ к содержанию писем пользователей, необходимо участие всех этих трёх групп людей, которое невозможно без соблюдения ряда внутренних процедур. Все подобные действия автоматически логируются и находятся на контроле у службы безопасности компании».

Как государство защищает данные россиян?

Организации и отдельные люди, которые хранят, собирают, передают или обрабатывают персональные данные, по закону относятся к операторам персональных данных. Все они с июля 2016 года должны хранить информацию о российских пользователях на территории России. Интернет-компании, нарушающие этот закон, получат предупреждение от Роскомнадзора. Если нарушения не устранят в течение дня, компании внесут в специальный реестр, а доступ к ним по решению суда будет заблокирован. Недавно депутаты решили приблизить начало работы закона, заявив, что компании готовы к тому, чтобы он вступил в силу уже в январе 2015 года.

В рамках пакета «антитеррористических поправок», предложенных руководителем комитета Госдумы Ириной Яровой, без указания персональных данных можно делать электронные платежи на сумму до 1 000 рублей в день. Это поможет узнать, кто совершил пожертвования через платёжные системы тому или иному человеку или компании. По словам парламентариев, практически все платежи за рубежом подконтрольны государству и могут отслеживаться.

Ещё одной инициативой, которая должна помочь предотвратить теракты, стало предложение подключаться к публичному Wi-Fi по паспорту. Это означает, что власти, во-первых, создают новую волну ограничений к интернет-доступу, во-вторых, хотят следить за всеми, кто в него заходит. Премьер-министр Медведев отмечал: «Хочу обратить внимание, что ни у кого не было задачи, чтобы все носили с собой паспорта. Ведь идентификация возможна гораздо более современными способами — по SMS или кредитной карте. Многие страны после самых разных печальных событий решили, что надо идентифицировать пользователей. Это нормальная задача государства — понимать набор существующих угроз и пытаться им противодействовать. Ведь абсолютное большинство преступлений террористического характера осуществляется сейчас с использованием интернета и мобильной связи».

Ситуация усугубилась на фоне украинских событий, когда депутаты стали открыто заявлять о том, что интернет влечёт революционную угрозу. Например, член комитета Госдумы по бюджету и налогам Евгений Фёдоров говорил, что «интернет является прямым орудием «оранжевой» интервенции, за которой следует массовое убийство десятков тысяч людей. Первый этап — это работа в интернете, в том числе с интернет-компаниями, которые связаны с «пятой колонной», через санкции, через манипулирования расположенными за рубежом дата-центрами. Именно оттуда производится цензура и ревизия тех процессов, которые происходят в России». То есть вопрос защиты персональных данных для властей — это вопрос защиты суверенитета страны и национальных интересов.

Чем принятые инициативы грозят пользователям?

Усиление регулирования неминуемо ведёт к ущемлению свободы пользователей и сервисов, которые всегда существовали в условиях глобального интернет-рынка. Из-за отказа зарубежных компаний хранить данные китайских пользователей на территории страны правительство КНР заблокировало работу Google. Хотя интернет-гиганты стремятся размещать дата-центры как можно ближе к клиентам, так как это повышает скорость работы сервисов, американские компании отказывались идти на уступки из-за угрозы нарушения приватности пользователей.

Российские власти вслед за Северной Кореей и Китаем продолжают принимать поправки, направленные на регулирование работы западных интернет-компаний в России. Крупные платёжные системы Visa и MasterCard уже заявляли о возможности уйти с рынка. В случае ухода Facebook и Google пользователи смогут обращаться к ним только через VPN и TOR в обход законодательства.

Если зарубежные компании вроде Airbnb и Booking не перенесут серверы данных россиян в страну, пользователи не смогут покупать билеты и бронировать отели с вступления в силу закона «О персональных данных». Депутаты уверяют, что компании смогут работать по-прежнему. Но на всякий случай правительство поручило создать систему бронирования авиабилетов и отелей.

Зачем ещё контроль, когда есть ФСБ?

Государство стремится отрегулировать работу интернета с разных сторон, например через работу одного подконтрольного оператора. Параллельно с 1 июля в силу вступили поправки, расширяющие полномочия ФСБ (так называемый СОРМ-2). У структуры есть достаточно рычагов, чтобы узнать про любого пользователя персональную информацию и его локацию.

По приказу Минкомсвязи с 1 июля 2014-го все данные о звонках россиян операторы связи обязаны хранить в течение 12 часов. Компания «Вымпелком» отмечала, что этот закон противоречит статьям Конституции, гарантирующей право на неприкосновенность частной жизни и тайну личной переписки и переговоров. Приказ распространяется и на интернет-операторов, которые должны по запросу предоставлять IP-адреса и данные к аккаунтам сервисов Google, «Яндекса» и Mail, а также сообщать о местонахождении пользователей Skype и других подобных программ. Если предыдущая версия СОРМ могла следить за пользователями выборочно, существующая обеспечивает возможность массовой слежки.

Но все эти возможности доступны только ФСБ и открываются по предоставлению официального запроса. Другим же структурам необходимы отдельные точки контроля, которые может обеспечивать государственный провайдер, поисковик и пр.

Иностранные компании уйдут из России?

Руководитель Роскомнадзора Алексадр Жаров встречался с представителями Twitter и договорился о совместной работе, однако компания так и не исполнила приказ ведомства по блокировке аккаунтов. Ведутся переговоры с другими компаниями, но обе стороны от комментариев отказываются.

Правительство РФ обсуждает различные инициативы, направленные на регулирование деятельности компаний. Так, до конца 2014 года предлагается ввести поправку, которая позволит облагать НДС телеком-услуги иностранных компаний, что также усложнит работу сервисов. В августе сообщалось, что с проблемами столкнулись аудиторы. Одна из привлечённых KPMG организаций лишилась лицензии на работу с гостайной. Сообщалось, что у ФСБ есть претензии к тому, как аудиторы хранят информацию, так как их серверы находятся не в России.

Проблемы могут возникнуть у компании Apple, использующей американские технологии. По словам министра связи Никифорова, в ближайшие годы Россия должна полностью перейти на собственное ПО. Не исключено, что скоро мы увидим айфоны российского происхождения, которые станут единственно возможными.